EHBO

WordPress website gehackt: wat nu?

Als jouw WordPress website gehackt is, voelt dat overweldigend. Toch is het belangrijk om rustig te blijven en de juiste stappen te zetten. In dit artikel leggen we uit hoe je een hack herkent, wat je direct kunt doen en hoe je voorkomt dat het opnieuw gebeurt.

Key Takeaways

WordPress websites worden vaak gehackt via verouderde plugins, thema’s of zwakke wachtwoorden – niet omdat jouw site speciaal is uitgekozen.
Er zijn duidelijke signalen die aangeven dat je site gehackt is, zoals vreemde omleidingen, spam in Google of onbekende gebruikers in je dashboard.
Na een hack zijn er concrete stappen die je kunt zetten – maar laat daarna altijd een specialist controleren of alles echt schoon is.

Hoe weet je of je WordPress website gehackt is?

Soms is een hack meteen duidelijk. Je opent je website en ziet een melding van hackers, of je homepage is compleet vervangen. Vaak is het echter subtiele – en daardoor juist gevaarlijker. Dit zijn de meest voorkomende signalen:

Je website wordt omgeleid naar een andere site

Bezoekers komen op jouw website terecht, maar worden direct doorgestuurd naar een andere pagina – vaak een webshop vol namaakproducten of een phishingpagina. Jij ziet dit misschien niet zelf, omdat hackers slimme omleidingen instellen die alleen voor nieuwe bezoekers gelden.

Google geeft een waarschuwing

Zoek je op jouw bedrijfsnaam en zie je in de zoekresultaten teksten over Viagra, casino’s of andere spam staan? Dan heeft een hacker content aan jouw site toegevoegd om zijn eigen website hoger in Google te krijgen. Dit heet SEO-spam en is een veelvoorkomende vorm van WordPress hacking.

Je kunt niet meer inloggen

Als jouw wachtwoord plotseling niet meer werkt en je ook via “wachtwoord vergeten” geen toegang krijgt, is er mogelijk een onbekende beheerder aangemaakt die jou heeft buitengesloten.

Je hostingprovider heeft je account geblokkeerd

Veel hostingproviders monitoren automatisch op verdachte activiteit. Daardoor krijg je soms een melding dat je account is opgeschort vanwege spam of malware – vaak het eerste teken dat er iets mis is

Er staan onbekende bestanden of gebruikers op je site

Log je in op je WordPress dashboard en zie je gebruikers die je niet herkent? Of vind je via je hosting bestanden in mappen waar ze niet horen? Dan is de kans groot dat iemand ongeautoriseerde toegang heeft gehad.

Waarom worden WordPress websites gehackt?

Een veelgehoord misverstand is dat hackers specifiek jouw website uitkiezen. Dat is zelden het geval. Daarom is het goed om te begrijpen hoe het eigenlijk werkt: hackers gebruiken geautomatiseerde tools die het internet afzoeken naar bekende kwetsbaarheden. Bovendien richten ze zich juist op kleinere websites, omdat die vaak minder goed beveiligd zijn.

De meest voorkomende oorzaken zijn:

Verouderde plugins of thema’s – elke plugin die je niet bijhoudt, is een potentieel beveiligingslek. Zodra een kwetsbaarheid bekend wordt, brengen ontwikkelaars een update uit. Installeer je die update niet, dan blijft het lek open staan.

Zwakke wachtwoorden – een wachtwoord als “wordpress123” of je bedrijfsnaam is in seconden te raden. Hackers gebruiken geautomatiseerde tools die duizenden combinaties per minuut proberen.

Goedkope of slecht geconfigureerde hosting – niet elke hostingprovider heeft dezelfde beveiligingsmaatregelen. Goedkope hosting betekent helaas vaak ook minder bescherming.

Nulled plugins of thema’s – gratis versies van betaalde plugins of thema’s die je ergens op internet vindt, bevatten vaak verborgen malware. Het lijkt aantrekkelijk, maar het risico is enorm.

Geen twee-factor-authenticatie – zonder extra verificatiestap bij het inloggen is je dashboard kwetsbaar voor iedereen die je wachtwoord weet te raden.

Wat moet je direct doen als je WordPress website gehackt is?

Ontdek je dat je website gehackt is? Zet dan deze stappen – in deze volgorde

Stap 1: Zet je website tijdelijk offline

Zet je website direct in onderhoudsmodus of schakel hem tijdelijk uit via je hostingpanel. Zo voorkom je dat bezoekers op een gehackte pagina terechtkomen en dat eventuele malware zich verder verspreidt.

Stap 2: Wijzig alle wachtwoorden

Verander direct je WordPress beheerderswachtwoord, je hosting wachtwoord en je e-mailwachtwoord. Gebruik lange, unieke wachtwoorden en sla ze op in een wachtwoordmanager. Controleer daarna ook meteen of er onbekende beheerders in je dashboard staan en verwijder die.

Stap 3: Maak een back-up

Maak een volledige back-up van je website, ook al is die gehackt. Daardoor heb je in ieder geval alle content bewaard terwijl je het probleem oplost. Sla de back-up op buiten je server, bijvoorbeeld op je eigen computer.

Stap 4: Scan op malware

Installeer een beveiligingsplugin zoals Wordfence of Sucuri en voer een volledige scan uit. Deze tools zoeken naar verdachte bestanden, onbekende code en bekende malwarepatronen. Let op: een geautomatiseerde scan vindt niet altijd alles – handmatige controle door een specialist is betrouwbaarder.

Stap 5: Update alles

Zorg dat WordPress zelf, al je plugins en je thema up-to-date zijn. Verwijder daarna alle plugins en thema’s die je niet gebruikt. Elk ongebruikt onderdeel is een potentieel beveiligingsrisico.

Stap 6: Laat het controleren door een specialist

Dit is de stap die de meeste mensen overslaan – en dat is jammer. Want ook na het opschonen van je site kunnen er achterdeurtjes achterblijven waarmee hackers later opnieuw toegang krijgen. Daardoor is een professionele check na een hack altijd verstandig.

Hoe voorkom je dat je WordPress website opnieuw gehackt wordt?

Een hack is vervelend, maar het goede nieuws is dat je met een paar concrete maatregelen de kans op herhaling sterk verkleint.

Houd alles up-to-date – update WordPress, je thema’s en plugins zodra er een nieuwe versie beschikbaar is. Schakel automatische updates in voor kleine beveiligingsupdates.

Gebruik sterke, unieke wachtwoorden – en gebruik twee-factor-authenticatie voor je WordPress dashboard. Daardoor heeft een hacker die je wachtwoord weet toch nog een extra verificatiestap nodig.

Kies goede hosting – investeer in een hostingprovider die gespecialiseerd is in WordPress en actief monitort op verdachte activiteit. Bovendien bieden goede hosters vaak automatische back-ups en malwarescans.

Maak regelmatig back-ups – niet alleen na een hack, maar standaard. Zo kun je bij problemen altijd terug naar een schone versie.

Installeer een beveiligingsplugin – plugins zoals Wordfence of iThemes Security bewaken je site actief en waarschuwen je bij verdachte inlogpogingen of onbekende bestandswijzigingen.

Laat periodiek een technische check uitvoeren – een specialist ziet dingen die geautomatiseerde tools missen. Zeker als je website belangrijk is voor je bedrijf, is een periodieke controle de moeite waard.

Veelgestelde vragen over een gehackte WordPress website

Hoe weet ik of mijn WordPress website gehackt is?

Veelvoorkomende signalen zijn: vreemde omleidingen naar andere websites, spamteksten in Google-resultaten, onbekende gebruikers in je dashboard, waarschuwingen van je hostingprovider of een website die plotseling traag is of er anders uitziet.

Waarom is mijn WordPress website gehackt?

Meestal komt het door verouderde plugins of thema’s, een zwak wachtwoord of een onveilige hostingomgeving. Hackers kiezen zelden bewust voor jouw site – ze gebruiken geautomatiseerde tools die kwetsbaarheden scannen.

Wat moet ik als eerste doen na een hack?

Zet je website tijdelijk offline, wijzig alle wachtwoorden en maak een back-up. Daarna kun je verder met het opschonen van de site. Laat tot slot een specialist controleren of alles echt schoon is.

Kan ik een gehackte WordPress website zelf herstellen?

Dat hangt af van de ernst van de hack en je technische kennis. Sommige stappen — zoals wachtwoorden wijzigen en plugins updaten – kun je zelf doen. Voor het volledig opschonen van malware en het dichten van beveiligingslekken is echter specialistische kennis nodig.

Hoe voorkom ik dat mijn WordPress website opnieuw gehackt wordt?

Houd WordPress, plugins en thema’s altijd up-to-date, gebruik sterke wachtwoorden met twee-factor-authenticatie, kies voor betrouwbare hosting en laat periodiek een technische controle uitvoeren.

Mijn website is gehackt en ik kan niet meer inloggen - wat nu?

Neem contact op met je hostingprovider. Via het hostingpanel kun je vaak nog toegang krijgen tot je bestanden en database. Een specialist kan je helpen om toegang te herstellen en de hack te verhelpen.

Hoe lang duurt het om een gehackte WordPress website te herstellen?

Dat verschilt per situatie. Een eenvoudige malware-infectie is soms in een paar uur opgelost. Bij ernstigere hacks, waarbij bestanden of de database zijn aangetast, kan het langer duren. Daardoor is snelle actie altijd beter.

Moet ik een hack melden?

Als er persoonsgegevens van klanten of bezoekers zijn gelekt, ben je verplicht dit te melden bij de Autoriteit Persoonsgegevens. Twijfel je of dit het geval is? Raadpleeg dan een specialist.

Niet zeker of jouw website veilig is? Laat onze specialist er gratis naar kijken.

Gratis technische website scan

Ontdek hoe jouw website er écht voorstaat met de gratis en vrijblijvende technische website scan van WPSherpa. Onze specialist Walter negro bekijkt je site volledig met de had en geeft je tips om direct meer uit je website te halen.